Un attaquant accède à deux serveurs. Il coupe les autres à coups de DDoS. Pendant les minutes qui suivent, il mint 116 500 rsETH à partir de rien, les déverse sur Aave en garantie, et emprunte 190 millions de dollars en ether. Cela s’est joué le 18 avril 2026 à 17h35 UTC, au bloc Ethereum 24 908 285. Le plus gros protocole de prêt de la finance décentralisée y a perdu entre 124 et 230 millions de dollars de créances non récupérables, selon le scénario retenu pour éponger l’ardoise, et 9 milliards de dollars de dépôts en 48 heures.

Le paradoxe, c’est que rien n’a cassé. Les smart contracts d’Aave ont fonctionné exactement comme prévu. Le bridge de Kelp a vérifié un message signé par l’autorité qu’il était censé écouter. Le protocole de messagerie cross-chain a transmis une transaction validée par le vérifieur qu’il avait configuré. Tout le système a tenu, mais il a tenu autour d’une hypothèse qui venait de céder : que le vérifieur unique sur lequel reposait le bridge ne serait pas pris. Cet article raconte comment ce pari de configuration a fait tomber neuf milliards de dollars, ce qu’il faut en retenir sur la mécanique des bridges, et ce que vous devez savoir si une partie de votre capital est exposée à ce type d’infrastructure.

Comment un attaquant a minté 292 millions à partir de rien

La mécanique est documentée par le post-mortem officiel de LayerZero publié le 19 avril. Kelp DAO opère une application décentralisée de restaking liquide déployée sur la blockchain Ethereum. Quand un utilisateur dépose de l’ether sur l’application Kelp afin de participer indirectement à la validation de la blockchain, il reçoit un jeton en reçu appelé rsETH, aussi connu comme Liquidity Provider Token. Le rsETH est un Liquid Restaking Token : il représente des ETH séquestrés (mis en gage pour la validation via EigenLayer) mais reste mobilisable, déplaçable sur les blockchains de Layer 2, et utilisable en collatéral DeFi.

Ce verbe, “minter”, mérite une ligne d’explication. Minter un jeton, c’est le faire apparaître à partir de rien sur la blockchain. Le code d’un smart contract autorisé signe la création d’une unité supplémentaire, et cette unité entre dans la circulation. Ce n’est pas de l’impression monétaire : c’est une écriture comptable cryptographiquement signée, soumise aux règles du contrat. Quand un bridge cross-chain mint un jeton sur une chaîne d’arrivée, il est censé l’avoir préalablement séquestré sur la chaîne de départ. La faille de Kelp, c’est justement là qu’elle s’est logée.

Il faut ici distinguer deux objets qui portent le même nom de famille mais n’ont pas le même rôle. Le rsETH est un vrai LRT, natif Ethereum Layer 1, déjà non-rebasing, émis par Kelp à chaque dépôt d’ether. Le wrsETH est une version OFT cross-chain (Omnichain Fungible Token via LayerZero) qui représente le rsETH sur les Layer 2. L’analogie avec la paire stETH/wstETH de Lido n’est que partielle : chez Lido, la distinction est rebasing versus non-rebasing ; chez Kelp, c’est L1 natif versus bridge cross-chain. Le hack du 18 avril a porté sur le minting de wrsETH frauduleux sur les L2. Il n’a pas touché le rsETH natif sur Ethereum, et il n’a pas bougé l’ether séquestré sur EigenLayer.

Le bridge de Kelp s’appuie sur le protocole LayerZero. Pour valider un message sortant d’une chaîne vers une autre, LayerZero utilise ce qu’il appelle un DVN, un decentralized verifier network, soit un ou plusieurs vérificateurs indépendants qui attestent de la réalité du message avant qu’il ne déclenche le mint sur la chaîne d’arrivée. Le modèle recommandé par LayerZero, c’est un DVN multi-vérifieurs : plusieurs entités indépendantes valident, et il faut compromettre plusieurs d’entre elles pour forger un message.

Le bridge de Kelp fonctionnait en 1-of-1 DVN. Un seul vérifieur, qui était LayerZero Labs lui-même. C’est ce point qui rend l’attaque possible. L’attaquant a compromis deux des nodes RPC sur lesquels le vérifieur LayerZero s’appuyait pour lire l’état des chaînes source, en substituant les binaires op-geth par des versions malicieuses. En clair : il a remplacé les programmes officiels qui lisent la blockchain par des versions trafiquées, qui répondent ce que l’attaquant veut leur faire dire. Puis il a lancé une attaque DDoS sur les nodes sains restants. Le système, pour rester opérationnel, a basculé automatiquement vers les nodes qu’il considérait comme encore actifs : les deux nodes compromis. Le vérifieur a lu un état falsifié et a signé un message en conséquence. Le vérifieur LayerZero, c’est un arbitre : il regarde ce qui se passe sur une chaîne pour autoriser ou pas un mint sur une autre. Avec deux nodes compromis et le reste sous DDoS, il arbitrait sur la base de mensonges. Résultat : le bridge a minté 116 500 wrsETH sur les L2 sans qu’aucun ether correspondant ne soit jamais bloqué à la source, et sans qu’aucun rsETH réel ne soit séquestré côté Ethereum.

Ces 116 500 wrsETH valaient 292 millions de dollars à l’instant T. Dans les minutes qui ont suivi, les jetons ont été déposés sur le protocole Aave comme garantie, et l’attaquant a emprunté 82 650 WETH, soit 190,86 millions de dollars d’ether, contre cette garantie fictive. Ces chiffres proviennent du rapport officiel d’incident publié sur le forum de gouvernance Aave par le cabinet d’analyse de risque LlamaRisk. La sur-collatéralisation, brique fondamentale du prêt DeFi qui protège le prêteur en exigeant un dépôt supérieur à l’emprunt, est devenue décorative : la garantie n’existait pas.

LayerZero a ensuite attribué l’attaque au groupe Lazarus Group, sous-unité TraderTraitor, avec ce que la société qualifie de confiance préliminaire. Il s’agit d’une formulation prudente : la même sous-unité aurait été impliquée dans le hack Bybit de 2025 (1,4 milliard de dollars). L’attribution n’est pas encore confirmée par les agences spécialisées comme Chainalysis ou le FBI au 22 avril. Pour l’analyse, ce n’est pas le nom du groupe qui importe, c’est le niveau de sophistication : cibler une configuration 1-of-1 en coordonnant compromission de nodes et DDoS sur l’infrastructure de secours, c’est un mode opératoire d’acteur étatique.

Pourquoi Aave est le vrai sujet, pas Kelp

Il y a un raccourci facile qui circule depuis 48 heures : “Kelp a perdu 292 millions”. Il est techniquement inexact. Les rsETH natifs sur Ethereum sont intacts, l’ether séquestré via EigenLayer n’a pas bougé d’un wei, et le contrat Kelp continue d’honorer ses dépôts. Ce qui a disparu, c’est 116 500 wrsETH fantômes sur les L2, créés sans adossement, puis transformés en 190 millions d’ether bien réel emprunté sur Aave.

Les vrais perdants de cette histoire, ce sont les prêteurs Aave. Ils ont prêté du WETH réel contre un collatéral qui n’avait jamais existé. Aave DAO absorbe le bad debt (la créance non récupérable) : entre 123,7 et 230,1 millions de dollars selon le scénario, via le Safety Module d’abord, puis par un haircut imposé aux suppliers si le Safety Module est insuffisant. LayerZero a annoncé dans son post-mortem officiel “taking full responsibility”, mais la répartition finale entre LayerZero, KelpDAO et Aave reste en négociation. Kelp, pour le moment, porte surtout une crise de crédibilité plus qu’une perte comptable.

Aave a réagi vite. Dès 19h00 UTC le 18 avril, soit 85 minutes après l’exploit, rsETH et wrsETH étaient gelés sur tous les déploiements d’Aave V3. Les smart contracts n’avaient pas été compromis. Le problème venait du collatéral accepté. Mais le mal était fait, et le collatéral empoisonné continue de garantir un emprunt de 190 millions de WETH.

Le rapport LlamaRisk décrit deux scénarios pour éponger les pertes.

Scénario 1 : la charge est socialisée sur l’ensemble des détenteurs de rsETH. Le jeton subit alors un depeg de 15,12 %, la créance douteuse pour Aave chute à 123,7 millions de dollars, et elle se concentre sur Ethereum Core (91,8 millions, soit 1,54 % d’épuisement des réserves WETH sur la chaîne principale).

Scénario 2 : la charge est isolée aux Layer 2. Kelp applique un haircut de 73,54 % aux copies de rsETH sur les chaînes distantes, préservant le pair sur Ethereum. Conséquence : Aave éponge 230,1 millions de dollars de bad debt, presque entièrement concentrés sur Mantle (77,7 millions, soit 71,45 % de ses réserves WETH) et Arbitrum (88,4 millions, 26,67 %). Mantle est particulièrement exposé : si ce scénario est retenu, les prêteurs WETH sur cette chaîne sortent avec plus de sept dixièmes de leur dépôt laissé sur place.

Lequel des deux scénarios sera appliqué ne dépend pas d’Aave. Cela dépend de la gouvernance Kelp, qui doit décider comment elle traite le taux de change rsETH après l’exploit. Autrement dit, la plus grande plateforme de prêt décentralisée au monde attend une décision d’un autre protocole, sur lequel elle n’a aucun levier, pour savoir comment va se distribuer une perte de 230 millions de dollars potentiels. C’est la réalité du lego DeFi : l’interopérabilité est aussi une interdépendance, et l’interdépendance signifie que le risque d’une brique devient le risque de la pile.

Le stress de liquidité qui n’apparaît dans aucun smart contract

Le rapport LlamaRisk signale un détail qui n’a rien d’abstrait. Les réserves WETH sur Ethereum, Arbitrum, Base, Linea et Mantle sont à 100 % d’utilization, et les balances sont tombées sous 20 dollars sur chaque chaîne. Traduction : tout l’ether déposé chez Aave est actuellement prêté. Il ne reste rien à disposition immédiate. Un déposant qui voudrait sortir son ether aujourd’hui doit attendre qu’un emprunteur rende du WETH, ou que les taux d’emprunt grimpent assez haut pour forcer les emprunteurs à sortir.

Et c’est là que les vrais emprunteurs d’Aave, ceux qui avaient emprunté légitimement avant le hack, se retrouvent pris dans l’engrenage. Aave V3 utilise un modèle de taux d’intérêt avec un kink, un point de rupture, à environ 90 % d’utilization. En dessous de ce seuil, le taux monte doucement. Au-dessus, il grimpe en pente forte jusqu’à 100 %. À 100 % d’utilization, le taux d’emprunt du WETH explose à plusieurs dizaines de pour cent annualisés. Concrètement, si vous aviez emprunté du WETH il y a trois mois à 4 % annualisé, vous vous retrouvez aujourd’hui à payer un loyer horaire qui vous pousse à rendre votre emprunt le plus vite possible. Et si votre health factor (le ratio entre votre collatéral et votre dette) tombe sous 1 à cause de cette montée, vous êtes liquidé : un liquidateur rembourse votre dette à votre place, et prend votre collatéral avec 5 à 10 % de décote. Vous, vous sortez lessivé.

Pendant ce temps, les prêteurs ne peuvent pas retirer leur ether tant que la liquidité reste gelée. Ce mécanisme d’auto-régulation du protocole est une mécanique propre : le taux monte jusqu’à forcer des remboursements, ce qui libère de la liquidité, ce qui permet aux prêteurs de sortir. Mais le prix est payé par les vrais utilisateurs pris en dommage collatéral : l’emprunteur qui paye un loyer soudain insoutenable, le prêteur qui attend, le liquidé qui voit sa position évaporée sans qu’il ait rien fait de mal.

C’est un stress de liquidité classique. Dans le système bancaire traditionnel, il s’appelle bank run. Quand tout le monde veut ses dépôts au même moment, la banque n’a pas les réserves cash nécessaires, même si elle est solvable. Dans la DeFi, le mécanisme est différent : pas de panique de guichet, pas de run physique, mais une file d’attente mathématique où le taux d’intérêt monte jusqu’à atteindre l’équilibre. Ceux qui retirent vite sortent. Ceux qui attendent payent le prix de l’illiquidité.

Les chiffres DefiLlama confirment le phénomène. La TVL d’Aave est passée de 26,4 milliards de dollars le 18 avril à 17,7 milliards le 20 avril, soit une contraction de près de 9 milliards en 48 heures. Les whales ont retiré, les particuliers ont suivi, le protocole s’est vidé. Le jeton AAVE a perdu autour de 8 % sur la semaine et s’échange autour de 91,94 dollars, loin des 118 dollars de début avril.

Que signifie concrètement cette histoire si vous utilisez la DeFi ?

Si vous avez prêté du WETH sur Aave v3 Mantle ou Arbitrum, vous êtes actuellement exposé directement à la façon dont Kelp va trancher le scénario de perte. Dans le scénario 2, les déposants Mantle absorberaient plus de 70 % de haircut sur leur position. Ce n’est pas une hypothèse académique : c’est écrit noir sur blanc dans le rapport d’Aave. Si vous avez déposé de l’ether sur ces chaînes, vérifiez vos positions, consultez la discussion de gouvernance, et anticipez l’éventualité de retirer sur un taux d’intérêt élevé tant que des sorties sont possibles.

Si vous détenez du rsETH via Kelp, vous êtes l’autre moitié de l’histoire. La socialisation uniforme vous coûte autour de 15 %. L’isolement aux L2 protège votre position sur Ethereum mais écrase les copies sur les L2. Chaque détenteur de rsETH sur Ethereum a donc un intérêt patrimonial direct à ce que l’isolement L2 soit retenu. Chaque détenteur sur Arbitrum ou Mantle a l’intérêt inverse. La gouvernance Kelp va arbitrer, et c’est là que passe le vrai transfert de richesse de cette histoire.

Si vous n’utilisez pas la DeFi et que vous vous demandez si ce hack vous concerne, la réponse est oui et non. Oui, parce que votre perception du risque cryptoactif est en train de se réajuster : la DeFi n’est pas immunisée, elle n’est pas garantie, et elle partage avec la finance traditionnelle des dynamiques de liquidité qui se manifestent différemment. Non, parce que tant que vous détenez du bitcoin en auto-conservation sur un wallet physique, votre exposition à ce genre d’incident est nulle. La distinction entre actif en auto-conservation et actif utilisé dans un protocole est le premier critère d’exposition, et il mérite d’être compris avant toute exposition DeFi.

Quels enseignements structurels retenir ?

D’abord, la désintermédiation n’est pas la disparition du risque, c’est son déplacement. La finance traditionnelle a des intermédiaires humains (banquier, courtier, régulateur) qui absorbent une part du risque par leur jugement et leur responsabilité juridique. La DeFi remplace cette chaîne par du code. Le code est rapide, transparent, sans favoritisme. Mais quand le code est mal configuré, personne ne peut l’arrêter avec un coup de fil ou une demande d’arbitrage. Le 1-of-1 DVN de Kelp n’aurait jamais passé l’étape de validation dans un comité de risque de banque d’investissement. Dans la DeFi, il a tourné en production pendant des mois jusqu’à ce qu’un attaquant le teste.

Ensuite, chaque bridge traversé ajoute une couche de risque, et cette couche mérite d’être comptée. Le principe d’un bridge cross-chain est simple à énoncer : séquestrer le token primaire sur la chaîne source, minter un équivalent sur la chaîne destination. La faille de Kelp, c’est qu’il n’y a jamais eu de séquestration réelle. Le vrai adossement n’existait pas. Un attaquant avec accès à deux nodes RPC peut drainer une partie significative d’un protocole de prêt majeur parce que le bridge qui amenait le collatéral reposait sur une chaîne de confiance d’un seul maillon. L’argument économique qui justifie le 1-of-1 (moins de frais, moins de latence, plus simple) est réel. Il faut juste savoir que ce prix se paie en risque porté par les utilisateurs, pas par l’opérateur.

Enfin, l’interopérabilité DeFi fonctionne comme une chaîne de dominos. Kelp est tombé. Aave n’a pas été hack, mais Aave a perdu 9 milliards de dépôts parce qu’Aave acceptait du rsETH. Les prêteurs WETH sur Mantle n’ont rien fait de spécifique, et pourtant ils risquent de perdre 71 % de leur position parce que leur chaîne est structurellement la plus exposée. Les compétences nécessaires pour évoluer sereinement dans la DeFi ne sont pas seulement de comprendre un protocole, mais de comprendre les interdépendances entre protocoles. Car c’est cette pile qui définira, à la fin, le risque réel.

Le récit facile, ce serait de dire que la DeFi est trop risquée. Ce serait passer à côté du problème. La finance traditionnelle porte les mêmes risques systémiques, mais elle les habille en promesses régulatoires et en garanties de dépôts qui ont leurs propres limites. La question sérieuse n’est pas DeFi ou TradFi. C’est : est-ce que je comprends où se trouve le risque réel dans l’infrastructure sur laquelle je m’expose, et est-ce que j’en accepte la contrepartie ?

Sur ce point, la réponse du 18 avril est gênante pour toute l’industrie. Trois acteurs majeurs, des auditeurs, une communauté de développeurs, des milliards de dollars en jeu, et au bout de la chaîne un paramètre de configuration que personne n’avait corrigé. Le hack n’est pas un accident. C’est le résultat de décisions économiques implicites qui considèrent qu’une hypothèse suffisamment bonne est l’équivalent d’une hypothèse vérifiée. La souveraineté financière commence précisément là : comprendre où se logent les hypothèses de confiance dans son propre patrimoine, et décider soi-même si on les accepte.

Laurent Blasco
Comprendre. Trancher. Opérer.

FAQ

Que s’est-il passé exactement sur Kelp DAO le 18 avril 2026 ?
Un attaquant a exploité une faille de configuration dans le bridge cross-chain de Kelp DAO. En compromettant deux nodes RPC sur lesquels le vérifieur LayerZero s’appuyait, puis en lançant des DDoS sur les nodes sains, il a forcé le système à basculer vers les nodes compromis. Le vérifieur, qui était en configuration 1-of-1 (un seul point de vérification, LayerZero Labs), a alors signé un message falsifié et le bridge a minté 116 500 wrsETH (292 millions de dollars) sur les Layer 2 sans contrepartie sur Ethereum. L’attaquant a ensuite utilisé ces jetons comme garantie sur Aave pour emprunter 190 millions de dollars en ether.

Qu’est-ce qu’une configuration 1-of-1 DVN et pourquoi est-elle risquée ?
Un DVN (Decentralized Verifier Network) est le mécanisme qui valide les messages cross-chain dans le protocole LayerZero. Une configuration 1-of-1 signifie qu’un seul vérifieur est nécessaire pour approuver un message. Le modèle recommandé par LayerZero est un DVN multi-vérifieurs, où plusieurs entités indépendantes doivent toutes confirmer. Une config 1-of-1 crée un point de défaillance unique : compromettre le seul vérifieur suffit pour forger un message valide. LayerZero a annoncé ne plus signer aucun message des applications restées en 1-of-1 après l’incident.

Quelle est la différence entre rsETH et wrsETH ?
Le rsETH est le jeton natif émis par Kelp DAO sur Ethereum Layer 1 quand un utilisateur dépose de l’ether. C’est un Liquid Restaking Token non-rebasing, adossé à de l’ether effectivement séquestré via EigenLayer. Le wrsETH est sa version OFT (Omnichain Fungible Token) déployée sur les Layer 2 via LayerZero pour permettre à rsETH de circuler sur Arbitrum, Base, Mantle, Unichain. Le hack du 18 avril a touché le minting de wrsETH frauduleux sur les L2. Il n’a pas touché le rsETH natif sur Ethereum, et il n’a pas bougé l’ether séquestré côté EigenLayer.

Aave va-t-il absorber 230 millions de dollars de pertes ?
Pas nécessairement. Le rapport LlamaRisk publié sur le forum de gouvernance Aave le 20 avril décrit deux scénarios. Le premier (socialisation uniforme sur tous les détenteurs de rsETH) génère 123,7 millions de dollars de créances douteuses, concentrées sur Ethereum. Le second (isolement des pertes aux Layer 2) génère 230,1 millions de dollars, concentrés sur Mantle et Arbitrum. Le scénario appliqué dépend de la décision de la gouvernance Kelp sur la façon dont le taux de change rsETH sera ajusté, pas d’Aave. LayerZero a par ailleurs annoncé assumer pleinement sa responsabilité dans l’incident, mais la répartition finale entre les trois acteurs reste à négocier.

Qu’est-ce que 100 % d’utilization signifie pour un déposant sur Aave ?
Cela veut dire que tout l’ether déposé sur Aave est actuellement prêté. Il n’y a pas de réserve immédiatement disponible pour les retraits. Un déposant qui veut sortir doit attendre qu’un emprunteur rende son WETH ou que les taux d’intérêt grimpent suffisamment pour forcer des remboursements. Ce n’est pas une insolvabilité, c’est une illiquidité temporaire. Dans le système bancaire classique, cette configuration serait un pre-bank run : solvable mais sans cash immédiat. Les emprunteurs légitimes pris dans l’engrenage voient leur taux d’emprunt exploser à cause du modèle d’intérêt d’Aave au-dessus du seuil de 90 % d’utilization.

Suis-je exposé au hack si je détiens du Bitcoin en auto-conservation ?
Non. Détenir du bitcoin sur un wallet physique dont vous contrôlez les clés privées ne vous expose à aucun risque direct de cet incident. L’exposition DeFi ne commence qu’à partir du moment où un actif est déposé dans un protocole (bridge, pool de liquidité, prêt/emprunt). La première règle de souveraineté financière en crypto est de distinguer clairement l’actif en auto-conservation et l’actif mis au travail dans un protocole : les profils de risque sont sans commune mesure.

Pourquoi la DeFi présente-t-elle des risques spécifiques que la finance traditionnelle n’a pas ?
La DeFi remplace les intermédiaires humains (banque, courtier, régulateur) par des smart contracts. C’est un gain de vitesse et de transparence, mais un transfert de responsabilité : si le smart contract est mal configuré, personne n’a autorité pour l’arrêter. La finance traditionnelle porte d’autres risques (concentration, opacité, aléa moral), mais elle a des circuits de correction humaine. La DeFi demande une compétence différente : comprendre l’architecture technique de l’infrastructure qu’on utilise, pas seulement le produit qu’on achète.